当前位置:网站首页 > 网络安全培训 > 正文

一次水平越权,导致平台两万人被修改密码

freebuffreebuf 2019-02-27 251 0

本文来源:一次水平越权,导致平台两万人被修改密码

原创: EEE 合天智汇

1F 背景

朋友某资讯平台要上线,简单的对他账号认证这一块做了一下安全测试。

2F repeater暴露出来的若干问题

先找到了Login登录口,短信验证码的请求抓包,然后放到repeater里面疯狂的gogogogo

image.png然后就发现自己被短信轰炸的一脸懵逼

tips:短信轰炸原理  有专门的提供短信接口的服务商,而网站买了服务商的业务。

但在网站的后端逻辑上存在问题,如未对请求频率进行限制等。就产生了定向轰炸。即为我们常说的短信轰炸机。

上面所说的是定向用户的短信高频率的发送信息,造成的短信轰炸。


而有的网站后台进行限制,禁止向一个用户发送一天超过5条的数量限制。但攻击者则可以进行水平方向的手机号遍历。

网站都是买的短信服务。1000条短信多少多少钱;而该问题直接导致了大量的短信资源浪费)。

抓一下接收短信验证码的请求,放在repeater里面重放一下,我手机就收到了铺天盖地的验证码

image.png

就一个repeater就发现了若干个问题:

网站上的验证码未更新,可以被攻击者暴力猜解。

短信验证码为四位数且为30分钟,为暴力猜解给出了想当长的时间。

没有限制发送短信验证码的次数和频率,可恶意消耗企业资源。

3F 简单的任意账户密码重置

我们随便输入一个四位数验证码,点击注册后抓到了request请求扔进intruder准备暴力。Payload我们这里选择Bruteforcer设置为四个纯数字,不过是1000个数字,而且是30分钟失效。并且为了防止触发waf,可以把线程调低一些。

image.pngimage.png

Intruder经过一段时间的便利后,我们发现了有个数据包明显跟别的长度是不一样的。大家在使用intruder功能时可以关注length,数据包我们是不可能一个个去翻着看的。

而筛选出数据包特征,则便于我们方便的查看漏洞信息

image.png4F水平越权导致全平台两万用户存在风险

经过刚才的问题,我们已经可以通过手机扫号进行盗取任意账户了。

如果手机号存在,我们就可以点击获取验证码后,暴力的去破解验证嘛。

但如何才能盗取全平台账户,只通过手机扫号则是个棘手的问题了。

我们把刚才的网址链接取出来,则是这样的

http://xxx.xx.com.cn/index.php/Login/login_xxx_pwd.html?niuerid=21926

但是url挺有意思,突然感觉事情好像没有这么简单……

niuerid???

这个参数疑似为用户的ID,例如每个账户都会有一个ID。

我又创建了一个账号进行复验,拿到自己的niuerid。最后,一个url就可以通过niuerid改掉我新账号的密码。

也就是说,我们打开这个网址,就可以水平越权所有平台账户


image.png

5F 分析一下

至此为止,我们发现俩中低危。

手机验证码无限重放漏洞+水平越权。

这里给出的安全意见

1、手机验证码至少是6位,而且限制访问次数。

2、每个账号重置的地址,应该是绑定权限的,不能只通过一个参数就重置这么简单。

相关实验合天网安实验室也已上线,欢迎小伙伴们前去实践

Burp 暴力破解

实验简介:

通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。

实验链接:

实验:Burp 暴力破解(合天网安实验室)

image.png

权限绕过

实验简介:

越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。通过该实验了解权限绕过漏洞,掌握常见的权限绕过漏洞原理以及漏洞检测利用和漏洞防护。

实验链接:

实验:权限绕过(合天网安实验室)

image.png声明:漏洞已拿去修复,后续的安全测试没贴,毕竟人家是需要上线的业务。笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。

本文为合天原创,未经允许,严禁转载

转载请注明来自网盾网络安全培训,本文标题:《一次水平越权,导致平台两万人被修改密码》

标签:合天智汇

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表